重要提示:谷歌和雅虎将从 2024 年 4 月起要求使用 DMARC。
阅读更多
权力管理机构

防止SQL注入攻击的5个技巧

Ahona Rudra
SQL注入攻击

SQL注入攻击

阅读时间 5 分钟

你听说过SQL注入这个词吗?你是否曾想过如何防止它?这些都是许多网络开发者问自己的问题。任何人都有可能受到这种攻击。但你不必成为他们中的一员。适当的预防措施可以让你轻松地捍卫你的数据库免受未经授权的访问。 让你的网站消费者免受SQL注入等攻击是很重要的,这样他们就可以无缝地进行购买。

让我们来看看什么是SQL注入攻击和5个预防SQL注入的技巧。 预防SQL注入。

什么是SQL注入攻击?

SQL注入是一种代码注入攻击,用于攻击数据驱动的应用程序,其中恶意的SQL语句被插入到一个条目字段中执行。

SQL注入攻击是最常见的数据库安全漏洞类型。SQL(结构化查询语言)是一种用于访问和操作数据库的编程语言。一个网络应用程序使用SQL数据库来存储、检索和操作数据。

这些攻击可能发生在恶意用户通过在网站或网络应用程序的输入框中输入命令而向数据库发送命令。攻击的目的是修改或破坏存储在数据库中的信息,可能是出于恶意,也可能仅仅是为了观看事物燃烧的乐趣。攻击者的目标是使数据库的行为不符合预期,这样就可以从数据库中检索到不是其创建者所希望的信息。

无论您选择 MariaDB还是MySQL任何数据库都无法完全避免现代黑客的无数手段。因此,您需要主动出击,防止他们得逞。创新的网络开发人员对于创建强大的数字防御系统来抵御各种网络安全威胁至关重要。

预防SQL注入攻击的首要提示

通过实施以下最佳实践,可以防止SQL注入攻击。

零信任的方法

A 零信任零信任方法是一种安全方法,组织假定所有的用户,包括管理员、外部伙伴和供应商,都是不被信任的和潜在的攻击者。组织需要对信息访问和使用进行严格控制。

这包括消除或减少对数据库、应用程序或服务的外部连接的依赖。

存储过程是尽量减少SQL注入攻击风险的一种方法,因为它们比动态SQL查询更安全。然而,如果存储过程和动态查询一样被使用,那么在测试过程中必须注意确保存储过程中不存在漏洞。

限制特权

在创建新账户时,最好只分配账户正常工作所需的最低必要权限。例如,如果你需要一个可以创建报告但不能删除报告的账户,就创建两个具有不同权限的不同账户。这将使黑客更难通过利用你的应用程序代码或配置文件中的任何漏洞来获取敏感数据或接管账户。

使用存储程序

存储过程可以在一条语句中执行多条 SQL 命令。存储过程不允许用户通过代码输入字段(如 "用户名 "或 "密码")直接访问数据库服务器,因此有助于防止 SQL 注入攻击。相反,它们使用预定义的函数,可以使用用户(网络应用程序开发人员)传递的参数从应用程序代码中调用。在集成外部服务时,权衡REST vs SOAP vs GraphQL等权衡因素,可指导技术决策,优化有效载荷大小、缓存和文档等因素。

下面是如何在MySQL中创建一个存储过程。例如,你有一个这样的表。

创建 薪水(
'empid' int(11) 空白,
'sal 帐户(11) 默认为 空白,
PRIMARY ('empid)
) 发动机=帝国数据库(InnoDB) 默认值 字符集=utf8;

这样一来,如果攻击者试图将恶意代码注入这样的参数,就会失败,因为应用程序和你的数据库服务器之间没有连接。一切都发生在你的机器上。

使用参数化查询

SQL注入攻击的发生是由于用户提供的输入被用于SQL查询,而没有首先进行消毒。避免这种情况的方法之一是使用参数化查询--即在查询字符串中使用变量而不是常量的查询。例如。

挑选* 其中 =?

而不是。

挑选* 其中 = '值'。

实施多层次安全

当恶意代码被插入到一个应用程序的SQL语句中时,就会发生SQL注入。然后,被注入的代码被网络服务器执行,导致它从数据库中返回开发人员无意中得到的数据。

你必须应用多层防御来防止这类攻击的发生。这包括设置防火墙和对所有用户实施强大的认证机制--如双因素认证(2FA)。

SQL注入攻击的类型

有三种类型的SQL注入。

未经消毒的输入 - 这种类型的SQL注入发生在一个应用程序没有过滤或消毒其输入,并在查询中直接使用它而不进行验证或编码。这可能导致意想不到的后果,如执行意想不到的查询,调用应该被限制的函数,修改表的内容等。

带外注入 - 这种类型的SQL注入发生在恶意数据通过指定用于交互式用户输入(如电子邮件)以外的渠道被发送到应用程序。这可以包括非文本的通信渠道,如即时通信或文件上传。

盲目的SQL注入 - 这种类型的SQL注入发生在攻击者无法看到幕后发生的事情,因为目标系统在提供无效值作为输入时没有返回错误信息。

SQL注入测试

SQL注入测试是为了测试网络应用程序中的SQL注入漏洞。它对网络开发人员特别有价值。

该测试是使用 OWASP Zed攻击代理(ZAP).

SQL注入测试是OWASP基金会提供的一项免费服务,帮助你评估你的应用程序对SQL注入攻击的安全状况。该测试突出显示了在你的应用程序中发现的任何SQL注入漏洞,以及对它们的补救建议。

Sqlmap是一个开源的渗透测试工具,可以自动检测和利用SQL注入缺陷并接管数据库服务器。它有一个强大的检测引擎,为最终的渗透测试者提供了许多利基功能,以及广泛的开关,从数据库指纹到从数据库获取数据到访问底层文件系统和通过带外连接在操作系统上执行命令。

最后的话

缺乏知识是造成SQL注入攻击的最常见原因。了解数据库查询和命令的基本知识是非常重要的。而一旦你学会了这些东西,记住它们也同样重要! 

重要的是,在你启动一个应用程序之前,要了解这些攻击是如何发生的,以及对它们可以做什么。如果你已经在开发一个网站,同样有必要不时地审核你的代码以确保其安全性。一点点的预防是很重要的,所以在编码的时候要注意,你应该会没事的。

Ahona Rudra的最新文章(查看全部)
退出手机版